密码经济学：权威证明

由克里普托伊科诺米克斯·斯塔迪主讲的密码经济学讲座，解释了权威证明 (PoA) 共识机制，包括中央权威机构如何决定交易排序、它引入的双重支付和审查问题，以及多重签名缓解方法。

本文字稿是克里普托伊科诺米克斯·斯塔迪发布的原视频文字稿 (opens in a new tab)的无障碍副本。为提高可读性，已进行轻微编辑。

权威证明的工作原理 (0:00)

欢迎来到第 2.4 节——权威证明——在这里我们将恢复中央权威机构来决定交易排序，并解决那个烦人的双重支付小问题。

从前，有一个大家都挺喜欢的中央权威机构。他们都认可这个伟大的权威机构，并说：“我们为什么不直接听他们的呢？我们遇到了这些问题，而且我们对正确的状态无法达成共识，所以就让她来告诉我们状态是什么吧。”

我们的中央权威机构运行着她的大型节点，现在人们签署交易，不再直接发送给彼此，而是发送给中央权威机构。中央权威机构应用每笔交易并亲自签名，说道：“是的，我批准——这是第零笔交易。”然后中央权威机构将其发送给所有人，每个人都收到该交易并将其奉为圭臬。

双重支付问题 (1:05)

现在让我们尝试一下双重支付。会发生什么呢？马洛里 (Mallory) 将向中央权威机构发送两笔冲突的交易。中央权威机构收到第一笔交易，并签名表示这是她看到的第二笔交易，然后签名表示这是她看到的第三笔交易，接着传播这些消息。

结果如何？每个人都收到相同的消息，并且他们都关注中央权威机构的排序。这意味着他们最终都拥有相同的历史记录。如果我们查看状态，一切都很顺利——爱丽丝 (Alice) 发送给静 (Jing)，然后马洛里发送给爱丽丝，接着马洛里尝试发送给静，但这笔交易没有通过，因为马洛里没有足够的钱。他们的余额都将是一样的。他们都达成了共识。中央权威机构——太棒了，我们做到了。

当权威机构被攻破时 (2:09)

但问题是，我们必须信任中央权威机构来提供这种交易排序。那么，如果中央权威机构被踢出局，结果发现她一直都是马洛里，会发生什么呢？

我们又回到了以前遇到的同样问题。首先是双重支付——马洛里只需对两笔冲突的交易进行签名，声称它们同时发生。我们不知道哪一笔先发生。马洛里选择性地传播它们，把节点搞得一团糟，导致它们失去共识。

另一个问题是审查制度。这是我们的权威证明链面临的一个新问题。如果马洛里不喜欢爱丽丝怎么办？爱丽丝试图发送一笔交易，中央权威机构看了一眼，发现是爱丽丝，就把它扔掉了。爱丽丝再次尝试发送，结果又被扔掉了。爱丽丝不知道发生了什么——她的交易一直无法通过。审查成功，我们又回到了痛苦之中。

使用多重签名进行缓解 (3:21)

不用太担心——有一种潜在的缓解方法。我们可以在政治上将权威机构去中心化。理论上，这将使马洛里更难获得控制权。因此，我们不再只有一个中央权威机构，而是有四个不同的权威机构。它们可能代表不同各方的不同利益，并且它们必须聚在一起共同批准交易。

这被称为多重签名 (multi-sig)。他们收到一笔从爱丽丝发给静的交易，第一个权威机构签名说：“我看到了这条消息，我批准。”然后第二个签名，接着是第三个。我们可以说我们接受四分之二的多重签名，或者四分之三，或者也许我们要求所有各方——四分之四。这取决于你在设计多重签名时的决定。

这意味着交易通过了，并且已经得到了权威机构的批准。

权威证明的局限性 (4:32)

但是，如果所有这些权威机构都变成了马洛里会怎样？我们会遇到完全相同的问题——双重支付和审查。所以它并不完美。然而，在某些方面它比中心化的支付处理器要好，因为至少用户自己运行了所有的交易。他们最终可以检测到双重支付，但我们仍然面临问题。从技术上讲，我们仍然可以进行双重支付，也仍然可以进行审查。

这里没有开放的访问权限——成为这些权威机构之一可能很困难。而且，如果发生双重支付或审查，也没有协议内的惩罚措施。协议中没有任何机制会惩罚这些权威人物。

接下来是什么 (5:19)

因此，我们聪明的爱丽丝决定采用另一种方法——摆脱权威机构。谁需要它呢？相反，我们允许任何人成为矿工并参与共识协议。这提供了参与的开放访问权限，为良好行为（以有效的方式形成共识）提供经济奖励，并为不良行为提供经济惩罚（当我们检测到不良行为时，会销毁人们的代币）。

但这将在接下来的工作量证明 (PoW) 中介绍——第 3 章的机制设计。